1、 alias 查一下是否有异常的命令别名
2、netstat -anpt 查看监听的网络连接
3、lsof -p 异常的pid 查看黑客的后门文件,放在沙箱中检测
4、history 查看一下历史命令
5、ls -a 查看一下是否有 .bash_history 隐藏文件(正常是有的,没有可能被黑客删除)
6、who 查看一下当前登录的用户
7、awk -F: '($3 == 0) {print $1}' /etc/passwd 查看当前的特权用户
8、cat /var/log/secure | grep failed 查看一下登录失败的日志,看是否存在暴力破解以及对应的ip
9、cd /var/spool/cron 切换一下计划任务的目录,查看一下计划任务
10、rpm -Vf /usr/bin 查看命令是否被修改过,确认修改后查看被修改的命令文件 cat /usr/bin/被修改的命令
11、在被修改的命令文件中对应的文件放在沙箱检测
12、删除所有的后门文件 rm -rf 后门文件
13、删除黑客设置的账号 在 /etc/passwd 和 /etc/shadow 中删除对应的用户
14、删除被修改的命令 rm -rf 黑客命令,添加正常的命令
标签:文件,删除,查看,命令,修改,排查,黑客,入侵 From: https://www.cnblogs.com/dream-1314/p/18509893